Test di sicurezza AWS: Guida pratica al Penetration Testing di Amazon Web Services

IAM: I Gioielli della Corona

AWS IAM è il servizio più potente e, al contempo, più comunemente configurato in modo errato dell'intero ecosistema. Il testing deve valutare le policy IAM per le violazioni del principio del minimo privilegio, identificare ruoli e chiavi di accesso inutilizzati, sondare i percorsi di escalation dei privilegi (concatenazione di ruoli, allegato di policy, abuso di AssumeRole), testare le Service Control Policies per l'efficacia dell'applicazione e verificare che l'accesso tra account sia adeguatamente limitato. Un singolo ruolo di esecuzione Lambda eccessivamente permissivo può dare a un utente malintenzionato l'accesso a ogni bucket S3, ogni tabella DynamoDB e ogni segreto in Secrets Manager. Il testing IAM è dove risiedono le scoperte di maggiore impatto.

S3 e Sicurezza dello Storage

Le configurazioni errate di S3 sono state alla base di alcune delle più grandi violazioni di dati nella storia. Il testing copre le policy dei bucket e le ACL per accessi pubblici non intenzionali, la crittografia lato server a riposo, la registrazione e il monitoraggio degli accessi, il versioning e le policy del ciclo di vita, e la generazione di URL pre-firmati per l'accesso a tempo limitato. Le impostazioni predefinite di Block Public Access del 2023 hanno migliorato la sicurezza di base, ma i bucket legacy e le sovrascritture esplicite delle policy creano ancora esposizione.

Lambda e Serverless

Le funzioni Lambda introducono vettori di attacco unici: ruoli di esecuzione eccessivamente permissivi che concedono più accesso di quanto la funzione necessiti, variabili d'ambiente che memorizzano segreti in testo semplice, injection di eventi tramite input non sanitizzati da API Gateway o trigger S3 e attacchi di temporizzazione cold start. Testare il serverless richiede la comprensione di come le architetture event-driven possono essere sfruttate.

EC2, VPC e Livello di Rete

Il testing EC2 valuta i security group per regole di ingresso eccessivamente permissive, la configurazione del servizio di metadati dell'istanza (IMDSv1 vs v2), la crittografia del volume EBS e la gestione delle chiavi SSH. Il testing VPC verifica che le ACL di rete e i security group implementino una corretta segmentazione, che gli endpoint VPC siano configurati per l'accesso a servizi privati e che il peering VPC non crei percorsi cross-network non intenzionali.

Percorsi di Attacco Cross-Service

Le scoperte AWS di maggiore impatto concatenano vulnerabilità tra i servizi. Un SSRF in un'applicazione web recupera credenziali temporanee dal servizio di metadati EC2 (IMDSv1). Tali credenziali appartengono a un ruolo eccessivamente permissivo che può leggere i segreti da Secrets Manager. I segreti includono le credenziali del database per l'istanza RDS contenente i dati dei clienti. Questa catena — web app → metadati → IAM → segreti → database — è esattamente ciò che i pentesters cloud esperti cercano e ciò che gli scanner automatizzati non rilevano.

Testing AWS con Penetrify

Il security testing AWS di Penetrify copre l'analisi delle policy IAM, la sicurezza di S3/storage, le configurazioni Lambda e serverless, l'architettura di rete EC2/VPC e la validazione dei percorsi di attacco cross-service. I professionisti sono in possesso di certificazioni di sicurezza AWS e comprendono le sfumature specifiche del provider che i pentesters generici non colgono. I report mappati alla conformità servono agli auditor SOC 2, PCI DSS, HIPAA e ISO 27001.